Das Kreuzerl am Kästchen macht der Kunde selber und freiwillig

Das Kreuzerl am Kästchen macht der Kunde selber und freiwillig

Eine Folge der nahenden DSGVO: Ohne Zustimmung der Kunden gehören Ihre Marketing- Maßnahmen wie Newsletter, Prospektversand, Gewinnspiele oder nur ein Anruf beim Kunden der Vergangenheit an.

Unabhängig davon, wie diese Marketing- Maßnahmen konkret aussehen: Ab dem 25. Mai 2018 gelten für alle Unternehmen verbindliche Bestimmungen und bei Rechtsverstößen drohen nicht nur Imageschäden, sondern auch Bußgelder in Millionenhöhe. Die Datenschutz-Grundverordnung (DSGVO) hat auf sämtliche (Online-)Marketing-Maßnahmen direkte Auswirkungen. Wie Sie Ihr Marketing auch nach dem 25. Mai rechtskonform gestalten, erfahren Sie im folgenden Artikel.

Newsletter oder Werbe-Mails In erster Linie muss der User der Kontaktaufnahme per E-Mail freiwillig zustimmen. Das bedeutet, dass die Checkboxen für die Einholung dieses Einverständnisses nicht bereits angekreuzt sein dürfen und der Kunde seine Anmeldung danach nochmals bestätigen muss (Double Opt-In). Gängigste Praxis ist hierfür der Versand einer Bestätigungs-Mail, in der nochmals ein Link geklickt werden muss. Weiters dürfen auch nur jene Daten erhoben werden, die für die entsprechende Dienstleistung obligatorisch sind. Das bedeutet für den NewsletterVersand, dass nur die E-Mail-Adresse und ein Ansprech-Name notwendig sind. Übrigens: Der Name des Kunden kann allerdings auch nur ein Pseudonym sein.

Bevor eine E-Mail- Marketing-Kampagne an bestehende oder veraltete Kontakte gesendet wird, müssen jene E-Mail- Listen überprüft werden, ob eine eindeutige Aufzeichnung über die Zustimmung des Kunden für den Versand vorliegt. Wenn nicht, sind die verantwortlichen Unternehmer verpflichtet, eine neue und ausdrückliche Erlaubnis einzuholen. Außerdem ist zu beachten, dass bei jeder Versendung von Werbe-E-Mails ersichtlich sein muss, dass es Werbung ist. Aber auch die Absender-E-Mail-Adresse sowie der Firmensitz des Unternehmens müssen am Newsletter enthalten sein.

Kunden-Telefonanrufe Unternehmen könnten ganz einfach auf der Website die Kunden-Telefonnummer für Rückrufe erfragen, aber auch hier gilt: Der Grund und das Einverständnis der Nutzer für die Kontaktaufnahme müssen vorher ausdrücklich und freiwillig vom Kunden genehmigt werden.

Daten der Website-Nutzer

Sehr sensibel müssen Unternehmen mit den Daten der Website-Nutzer umgehen und geeignete Schritte setzen. Folgende Maßnahmen müssen getroffen werden: Die IP-Adressen müssen anonymisiert, die erhobenen Daten müssen protokolliert, gespeichert und auf Nachfrage angegeben werden und es dürfen nur diejenigen Datenerhoben und gespeichert werden, die für das jeweilige Angebot unabdinglich sind. Auch hier muss das Einverständnis der Nutzer für die Kontaktaufnahme ausdrücklich erfolgen.

Gewinnspiele Gewinnspiele waren bisher ein recht verbreiteter Weg zur Generierung neuer Interessentenadressen. Aber auch hier sind die Informationspflichten genau einzuhalten und die Einwilligung darf nicht obligatorisch erfolgen. Für den Teilnehmer muss klar sein, wem er eigentlich seine Daten gibt und auch an wen genau sie weitergegeben werden. Ebenso muss der Zweck der Verarbeitung genau beschrieben sein, "Werbezwecke" allein ist zu global.

Aber: Ein Gewinnspiel-Teilnehmer ohne Einwilligung darf trotzdem vom Unternehmen verarbeitet werden, denn es gibt ja ein berechtigtes Interesse. In diesem Fall ist zwar eine telefonische Kontaktaufnahme oder der Versand eines Werbe-E-Mails nicht möglich, da hierfür die exakte Einwilligung fehlt. Hingegen wäre jedoch ein postalischer Versand von Prospekten möglich.

Recht auf Berichtigung und Recht auf Löschung

Eine betroffene Person kann immer die Richtigstellung oder die Löschung der personenbezogenen Daten verlangen. Diese Anträge müssen ebenso an jene Dritte weitergegeben und erfüllt werden, die die Daten vom Verantwortlichen (Unternehmen) erhalten haben. Eine vorübergehende "Inaktiv"-Setzung des Datensatzes, die man jederzeit aufheben kann, erfüllt diesen Kundenwunsch natürlich nicht. Als Löschung gilt hier nur die tatsächliche und sofortige Löschung aus der Datenbank.

Privacy by Design

Das Prinzip "Privacy by Design" ist ein Grundpfeiler der DSGVO und heißt übersetzt "Datenschutz durch Technikgestaltung". Um eine einheitliche Organisation des Datenschutzes der personenbezogenen Daten etablieren zu können, müssen technische und organisatorische Lösungen vom Unternehmen eingesetzt werden. Dazu gehören zum Beispiel: Nicht mehr Daten zu erfragen,als es für die Durchführung eines Auftrags notwendig ist. Diese nicht länger zu speichern als vereinbart! Auch ein verantwortungsvoller und transparenter Umgang mit Daten ist notwendig. Wenn all das beachtet wird, soll eine Datenschutzverletzung erst gar nicht möglich sein.

Die wichtigsten Fakten zur DSGVO

Die Datenschutz-Grundverordnung (DSGVO) regelt künftig den Umgang mit personenbezogenen Daten. In der DSGVO wird vorgegeben, unter welchen Voraussetzungen die Unternehmen die Kundendaten verarbeiten dürfen.

Das Strafausmaß für eine Verletzung der DSGVO ist extravagant: Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes des Unternehmens sind möglich. Ab 25. Mai 2018 ist die DSGVO wirksam.

Ein Datenschutzbeauftragter ist inÖsterreich nur unter bestimmten Voraussetzungen notwendig.

DSGVO in 30 Sekunden

Datenverarbeitung: Das ist jede Interaktion mit Daten, unter anderem das Sichten und Speichern sowie jegliche Form der Datenverarbeitung. Personenbezogene Daten: Das sind Informationen, die direkten oder indirekten Rückschluss auf eine konkrete Person zulassen. Betroffene: Das ist jene Person, deren Daten verarbeitet werden. Sensible Daten: Diese sind besonders schutzwürdige personenbezogene Daten, wie z. B. biometrische oder genetische Daten, aber auch Informationen zur Religion, politischer Meinung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualität. Datenanwendung: Wenn personenbezogene Daten zur Gänze oder teilweise automationsunterstützt geordnet sind. Das sind z. B. E-Mail-Programme, Personalverwaltungsprogramme, CRM-Programme etc. Verantwortlicher: Ihm werden die personenbezogenen Daten vom Betroffenen zur Datenverarbeitung überlassen. Auftragsverarbeiter: Er verarbeitet Daten im Auftrag des Verantwortlichen.